Elektronisches Bürger- und Organisationenpostfach

Nach “DeMail” mit privaten Anbietern: Das elektronische Bürger- und Organisationenpostfach (eBO) soll ab dem 1. Januar 2022 als weiterer „sicherer Übermittlungsweg“ für elektronischen Rechtsverkehr starten.

Nach “DeMail” mit privaten Anbietern: Das elektronische Bürger- und Organisationenpostfach (eBO) soll ab dem 1. Januar 2022 als weiterer „sicherer Übermittlungsweg“ für elektronischen Rechtsverkehr starten.

So wie sich mir das darstellt, setzt eBP kostenpflichtige Software kommerzieller Anbieter voraus und bedeutet mehrere hundert Euro Kosten für Unternehmen, aber auch private Teilnehmer.

Dank fehlender Standards kann das elektronische Bürger- und Organisationspostfach mit keinerlei Netzwerkeffekten rechnen. Reichweite beim Start wird daher gleich null sein, eine schnelle Adoption ist nicht zu erwarten.

Quelle: Wikipedia.

#log4J Log4Shell RCE 0-day exploit

If you develop software in Java, you are probably affected. Log4J is a really popular package to deal with logging.

In a nutshell, if an attacker manages to log a specific, crafted string, the library will load code from a random, remote host. Affected are all versions between 2.0 and 2.14.1.

#log4shell

Given how ubiquitous this library is, the impact of this vulnerability is quite severe. Learn how to patch it, why it’s bad, and more in this post.

Source: Log4Shell: RCE 0-day exploit found in log4j2, a popular Java logging package | LunaSec

Datenschutz im Pixi-Format

Was ist Datenschutz und warum ist Privatsphäre wichtig? Manchmal ist das ja Erwachsenen schon schwer zu erklären. Daher hat der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Prof. Ulrich Kelber das einmal in einem leicht zu konsumierenden Format aufbereiten lassen.

Was ist Datenschutz und warum ist Privatsphäre wichtig? Manchmal ist das ja Erwachsenen schon schwer zu erklären. Daher hat der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Prof. Ulrich Kelber das einmal in einem leicht zu konsumierenden Format aufbereiten lassen. Die beiden Pixi-Hefte Die Daten-Füchse – Das ist privat! und Die Daten-Füchse – Was ist Datenschutz? sind für Kinder im Kindergartenalter und deren Eltern entworfen worden, aber Erwachsene und besonders Pixi-Liebhaber werden Ihre Freude mit den Heften haben. Ich jedenfalls finde das für eine großartige Idee.

Beide Bücher können ab sofort kostenlos bestellt werden. Mit ein bisschen Glück kann man unterm Christbaum von den Daten-Füchsen lesen.

Am 3. Dezember hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zwei Kinderbücher zum Thema Datenschutz veröffentlicht .

Aus der Mitteilung
BfDI Pixi Buch (Quelle: BfDI)

Source: BfDI – Kurzmeldungen – Datenschutz im Pixi-Format

“Secret” Agent Exposes Azure Customers To RCE

This week, again Azure makes the news with cloud security issues. Following the linked article, Microsoft secretly installed a “management agent” on customer VMs. As if the act itself was not severe enough, the agent is reachable from the network.

Source: “Secret” Agent Exposes Azure Customers To Unauthorized Code Execution | Wiz Blog

And, if this does not seem bad enough, the said agent will an attacker root access when the authentication header is missing:

When working with the cloud, do your threat modelling before choosing a vendor.

cloud based CI/CD issues – travis-ci

Travis-CI published a security bulletin the other day, describing a special condition that would allow to access secrets belonging to a foreign repository in Github or Bitbucket. The condition requires a fork from a public repository. That’s how open source work, and very central functionality. Not a corner case.

Turns out, the cloud service did address the issue, still plenty of secrets have been affected:

While cloud technology is all great economically, this is another sample of why commercial software vendors need to consider third party vendors in their threat profiles.